Size: a a a

macOS — русскоговорящее сообщество

2020 April 24

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Syne St8
поясни конкретнее про какую ты уязвимость
shellshock
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Cenator 🐝
Ахах, 4-5 лет назад в винде можно было без разрешения юзера из браузера exe запускать (баннеры вымогатели)
https://www.securitynewspaper.com/2020/02/13/safari-rce-vulnerability-hackers-can-remotely-execute-code-in-your-apple-devices/
В 2020 году код можно выполнять из сафари без всяких exe'шников.
Что сказать-то хотели?
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Такое случается абсолютно везде. И то что вы этого не замечаете - скажите спасибо быстрофиксам и bug bounty программам.
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Хотите покажу вам софтину, в которой за 15 лет не нашли ни одной уязвимости?
Это qmail, только вы скорее всего не пользуетесь этим напрямую 🙂
источник

SS

Syne St8 in macOS — русскоговорящее сообщество
time flies 🏴
shellshock
ну ок

дыра все равно не в конкретной ос, а в ее компоненте

и тут это уже не совсем «рабочий процесс»
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Уязвимость находили даже в команде true, которая должна просто вернуть true.
Вы только вообразите, как оно случается.
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Syne St8
ну ок

дыра все равно не в конкретной ос, а в ее компоненте

и тут это уже не совсем «рабочий процесс»
Вопрос терминологии. ОС это ядро и прочие её компоненты.
Дыры и баги есть во всём этом.
источник

SS

Syne St8 in macOS — русскоговорящее сообщество
Syne St8
ну ок

дыра все равно не в конкретной ос, а в ее компоненте

и тут это уже не совсем «рабочий процесс»
в особенности эта дырка прососала бы, если бы юзался zsh
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
В железе есть дыры, ребята, куда уж там 🙂
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Syne St8
в особенности эта дырка прососала бы, если бы юзался zsh
А в zsh другая дырка, эх.
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Дырки они повсюду - с этим надо смириться и научиться жить, а не закрывать на это глаза и игнорировать
источник

SS

Syne St8 in macOS — русскоговорящее сообщество
ну прикольно, но тут более обскурно и не факт что найдена была на тот момерт
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Syne St8
ну прикольно, но тут более обскурно и не факт что найдена была на тот момерт
Тут ещё один прикол - когда дырку находят, её стараются пореже использовать чтобы не спалиться.
Никто не будет демонстрировать дырки в чатике "на слабо", кроме заведомо устаревших.

Именно поэтому какая-нибудь дырка в whatsapp применялась пару раз ко всяким богатым людям для кражи их данных, а ваших котиков так никто и не скачал 🙂 дыру-то закрыли в итоге.
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
И я точно так же не смог бы "на слабо" скачать твоих котиков, потому что я не крутой хацкер, который торгует такой информацией за десятки тыщ денег.
А дырка была (в модуле видеозвонков) и позволяла очень многое. Просто не всем
источник

SS

Syne St8 in macOS — русскоговорящее сообщество
я прекрасно знаю, как находятся и юзаются дырки

и эта точечность в любом случае не делает трояны (которые юзер сам несет на свое корыто) показателем дырявости ос
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Верно
О них никто и не говорит
Потому что запустить вредонос проигнорировав всё можно под любой ос
Обновление в данном случае не спасет

И макось не менее подвержена этому, так что не надо
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Как там? Правой кнопкой и option + open? ;)
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
это не отменяет что прямо сейчас десяток дыр точно имеется. В браузере, в декодере видео, картинок, в апфс... Везде.
Именно таких дырок, где качать троян не требуется.
А может быть вообще не требуется действий пользователя :))
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
time flies 🏴
Верно
О них никто и не говорит
Потому что запустить вредонос проигнорировав всё можно под любой ос
Обновление в данном случае не спасет

И макось не менее подвержена этому, так что не надо
Хотя нет.
Грамотный администратор безопасности запретит запускать не подписаные нужными ключами бинари вовсе.
Если не найти в этом уязвимость, то работать будет только разрешенный софт. Придется искать дыры в нем
источник

tf

time flies 🏴 in macOS — русскоговорящее сообщество
Например в большом банке венда, но запустить на компе что-то принесенное извне не выйдет
источник